Недавно наш директор по доходам Тодд Каротерс подчеркнул необходимость обеспечения безопасности как часть стратегии, которую клиенты должны учитывать при развертывании унифицированных коммуникаций (UC). В следующем посте было обращено внимание на BYOD и управление мобильными устройствами (MDM) как на области, которые необходимо изучить с точки зрения клиента.
Почти каждый день мы читаем сообщения о нарушениях конфиденциальности или скомпрометированном коде в приложениях, которые мы используем на наших телефонах или планшетах. Для клиентов, рассматривающих возможность развертывания UC, независимо от того, является ли он размещенным или локальным, риск потери данных или вторжения в сеть должен быть высоким в контрольном списке.
В этой статье мы рассмотрим некоторые из распространенных инструментов безопасности и выделим другие, которые могут быть менее очевидными, но одинаково важными.
Содержание страницы
- 1 Пароли
- 2 Межсетевые экраны и SBC
- 3 TLS / SRTP, VPN и VLAN
- 4 Клиенты программного обеспечения
- 5 Тестирование на проникновение
- 6 Вредоносные программы, обнаружение вторжений и анализ угроз
- 7 Сторонние библиотеки
- 8 Платформа системы обновления и укрепления
- 9 Отказ в обслуживании (DoS), распределенный отказ в обслуживании (DDoS) и доступность системы
- 10 Соответствие нормативам
- 11 Итог
Пароли
Следует учитывать, что пароли пользователей должны быть в центре внимания при планировании системы. С преобладанием таких сайтов, как https://haveibeenpwned.com, большинство ИТ-администраторов знают, что предоставление пользователям возможности выбирать пароли без каких-либо ограничений или рекомендаций часто приводит к неправильному выбору.
Менеджеры паролей легко доступны, и проверка выбора паролей соответствует предложенным рекомендациям должна быть частью процесса регистрации новых учетных записей.
В идеале пароли, используемые системой UC, должны быть объединены и интегрированы с обычным сетевым паролем (т. Е. Связаны с Active Directory, LDAP или другим централизованным элементом управления) – спросите поставщика UC, как они связываются с вашей существующей системой, вместо того, чтобы заставлять пользователей иметь сетевые пароли отдельно от тех, которые используются системой UC.
Межсетевые экраны и SBC
Межсетевые экраны могут быть настроены для общего управления трафиком TCP / IP, но UC часто использует SIP в качестве протокола сигнализации и XMPP для обмена сообщениями. Брандмауэры с поддержкой приложений (пограничные контроллеры сеансов) больше подходят для этой задачи, где для предотвращения мошенничества в обслуживании необходима глубокая проверка пакетов и понимание намерений протокола.
SBC также часто интегрируют системы обнаружения вторжений, отслеживая частоту входа в систему, пропускную способность вызовов и места назначения, что может быть индикатором атаки, мошенничества или неправильного использования.
TLS / SRTP, VPN и VLAN
Системы UC, которые используют SIP и другие протоколы, не должны использовать шифрование или туннелирование – это необязательно. Шифрование трафика UC с использованием TLS / SRTP обеспечивает защиту удаленных работников и предотвращает локальное прослушивание.
Более общий VPN может защитить весь трафик между сайтами. Отделение трафика UC (голоса, сигналов, сообщений и данных совместной работы) от остальной части основной или локальной сети с использованием сетей VLAN отдает приоритет важным чувствительным ко времени каналам по сравнению с регулярными передачами данных.
Также важно выбрать наиболее совместимую версию этих протоколов. Поскольку уязвимости обнаруживаются постоянно, системы должны пытаться согласовать текущие версии TLS, отказываться от соединения с небезопасным SSL (из-за его устаревания) и отказываться от использования известных слабых шифров.
Более сложная защита может также включать закрепление сертификатов или открытых ключей, что защищает от мошеннических атак CA и MiTM.
Клиенты программного обеспечения
Мы привыкли использовать HTTPS и установленные сертификаты для доверия серверам, к которым мы подключаемся, но предлагает ли ваше размещенное решение взаимную аутентификацию (mTLS), чтобы неизвестные или скомпрометированные клиенты не могли подключиться к серверу для начала атак? Поставщик программного обеспечения подвергает свое клиентское приложение тестированию на проникновение?
Многие сотрудники используют собственные устройства для корпоративных приложений (BYOD). Разрабатывает ли приложение UC поставщика в управляемой среде, такой как AirWatch, Citrix, Good Technology или MobileIron? Без этого контроля, взломанные устройства могут стать точкой поворота для дальнейших атак на предприятия, или более разговорно, Bring Your Own Disaster.
Тестирование на проникновение
Компании, предлагающие размещенное UC или клиентское программное обеспечение, должны предоставить некоторую форму подтверждения того, что их системы и программное обеспечение были проверены на безопасность. Если вы рассматриваете размещаемую услугу, следует задать вопросы о том, как проводится тестирование и с какой периодичностью. Сертификат прошлого года малопригоден.
Поставщики должны иметь как минимум двухэтапный процесс тестирования своих размещенных сервисов: тестирование кода QA, который замораживается и затем развертывается на промежуточном сервере, который затем снова тестируется, как если бы он работал. Возможность переключения промежуточного экземпляра на рабочий сервер снижает время простоя службы. Если у вас есть собственный сервис, регулярное тестирование с помощью пера – это рекомендуемый маршрут для выявления общих уязвимостей.
Вредоносные программы, обнаружение вторжений и анализ угроз
Многие решения UC предоставляют инструменты для мониторинга журналов и использования. Рекомендуется использовать их для вызова предупреждений при достижении определенных пороговых значений, таких как частота регистраций, вызовов или новых вызываемых получателей, которые ранее были неизвестны.
Должна быть предоставлена централизованная служба обнаружения AV / вредоносных программ, но есть и другие решения, которые проверяют сетевой трафик, мошеннические или отравленные DNS, Dark Web и другие источники для измерения и экстраполяции уровней угроз.
Это так называемые платформы разведки угроз. Поскольку более крупные размещаемые сервисы часто являются более крупными целями, они всегда должны рассматриваться. Сегодня такие компании, как HYAS, IBM X-Force Exchange, Anomali ThreatStream и другие, предлагают услуги, охватывающие эту форму анализа угроз.
Журналы аудита часто хранятся локально, что дает злоумышленнику возможность скрыть свои следы. Средство агрегации журналов, размещаемое извне, смягчает это и может также предлагать дополнительные функции, такие как анализ трендов, поиск по журналам и запуск по порогу для нескольких получателей.
Сторонние библиотеки
Многие сервисы UC доступны через браузер. Разработчики UX часто используют сторонний код для общих функций и возможностей. Обычно это хорошая идея, поскольку код был протестирован и развернут на многих сайтах. Однако, если веб-сайт UC включает код во время выполнения, а не замораживает выпуск кода, это может иметь катастрофические последствия.
Платформа системы обновления и укрепления
Поставщики UC поставляют обновления для своего программного обеспечения в течение года. Тем не менее, операционная среда часто упускается из виду. Применение обновлений ОС к производственному серверу является сложным, и исправление, которое нарушает работу программных служб UC, может иметь катастрофические последствия.
Если вы используете размещенную службу, спросите, как они планируют обновления платформы, а также те, которые требуются для службы UC. Кроме того, не забудьте узнать о политике отката или отработки отказа в случае сбоя обновления.
Поставщики UC развертывают на оборудовании и ОС COTS (Redhat, Windows Server и т. Д.), Но эти среды поставляются со службами по умолчанию, которые часто не требуются на платформе UC – изучите открытые порты и закройте или удалите службу.
Отказ в обслуживании (DoS), распределенный отказ в обслуживании (DDoS) и доступность системы
DoS и DDoS являются распространенными атаками, с которыми сталкиваются размещенные провайдеры. Если вы решите развернуть свое собственное, вы должны подумать о том, как он будет обрабатывать локальный сбой DNS, прерывание доступа в Интернет или DoS-атаку. У провайдеров со зрелым хостингом есть системы, такие как гео-избыточность нескольких провайдеров, защита от атак DDoS и планы аварийного переключения.
Соответствие нормативам
Если служба UC размещена в центре обработки данных, то следует также учитывать соответствие нормативным требованиям, предлагаемое этим поставщиком. Обычно упоминается GDPR, а также аудит безопасности центра обработки данных, такой как SSAE 18.
Если решение UC предлагает запись любых потоков (голоса, видео, данных), то эти аспекты соответствия нормативным требованиям становятся еще более важными. Зашифрованы ли данные в покое, доступны ли они администратору, как они проверяются и контролируются? Затраты на отказ в этом отношении могут быть значительными, до 4% оборота в тяжелых случаях.
Итог
В этом посте мы рассмотрели несколько областей, в которых должны сосредоточиться специалисты по планированию безопасности и потенциальные клиенты поставщиков UC, независимо от того, намереваются ли они использовать размещенный сервис или развернуть его локально.
На небольших предприятиях необходимый уровень знаний в области безопасности может быть нелегким или экономически эффективным. Сохранение этих навыков и выделение определенной команды для проверки, тестирования и бдительности – сложная и дорогостоящая задача.
Загрузка...